スモールビジネス向けのセキュリティ対策

皆様、こんにちは。はなくとです。

セキュリティ対策はお金がかかるため、それなりの規模を持った企業向けと思われがちですが、個人事業主を含む小規模の企業でもセキュリティ対策は重要です。何故なら個人情報や機密情報が流出した場合の信用失墜や損害賠償のリスクは組織の大小を問わず存在するからです。

そこで、今回は従業員数～10人程度の小規模の企業向けのセキュリティ対策について記載したいと思います。

ちなみに今回の記事執筆にあたり、こちらの記事を参考にしています。
英語ですが興味のある方は読んでみてください。
https://www.forbes.com/sites/mikekappel/2017/11/08/5-ways-to-improve-your-small-business-cybersecurity/

1. セキュリティポリシーの確立と教育

自分以外の従業員がいる場合、従業員のITシステムの利用をコントロールするためのセキュリティポリシーが必要となります。従業員のITへの理解は個人毎に異なるため、どのような行動がセキュリティリスクの共起に結び付くか理解・想像できない従業員は必ず存在します。そのような従業員向けにセキュリティポリシー教育を行い、行動基準を揃える必要があります。

2. ソフトウェアのアップデート

Windows等のOSやOffice、その他業務で利用するソフトウェアのアップデートです。ソフトウェアの脆弱性は日々発見されています。脆弱性はハッカーの攻撃の糸口となってしまうため、ソフトウェアアップデートは必須です。

3. マルウェア対策ソフトの導入

ご利用のPCにマルウェア対策ソフトを導入しましょう。マルウェア対策ソフトを導入しても全てのマルウェアを防げる訳ではありません。マルウェア対策ソフトの大半は、シグネチャというそのウィルスに含まれる特定のバイトシーケンスによってマルウェアを検知します。そのため、シグネチャが作られていない、「ゼロデイ」やマルウェア対策ソフトベンダーに知られていないマルウェア等、シグネチャが無いマルウェアを防ぐことはできません。それでもマルウェア対策ソフトを導入することで、先述した特殊なマルウェア以外は検知・駆除できるので導入は必須です。

4. アクセス制限

従業員の情報共有のために一般的にファイルサーバを利用しますが、ファイルサーバに格納する情報の機密レベルは様々です。また、従業員の役割や職位毎にアクセスが必要な情報は異なります。不必要な情報へのアクセスを禁止し、必要最小限の情報のみアクセスを許可することで内部不正対策となります。この考え方を「最小権限の法則」といいます。特権IDの権限を設計する際にも使われる考え方です。

5. バックアップ

定期的にバックアップを取得することにより、PCの紛失等が発生した場合に迅速なデータ復旧が可能です。セキュリティインシデント発生の予防にはなりませんが、事後作業としてデータ復旧のために必要です。また、2017年前半に猛威を振るったランサムウェア対策としても有用です。

6. 安全なWi-Fiの利用

最近はコンビニやカフェ、ホテルでも無料でWi-Fiを提供するようになってきました。しかし、無料Wi-Fiは誰でも利用出来るため、悪意を持ったユーザが同じWi-Fiに繋いでいるPCの通信を盗聴する可能性があります。そのため、このようなWi-Fiを利用する際は住所や電話番号、クレジットカード等の盗聴されて困る情報の通信は避けるべきです。どうしてもWi-Fiを利用する必要がある場合は、下記に気を付けましょう。

①暗号化されていないWi-Fiや脆弱な暗号方式（WEP）のWi-Fiスポットには接続しない。

②接続先のURLが「http～」のサイトには接続しない。「https～」となっているURLのみに接続する。

③できるだけ自身で契約したポケットWiFiを利用する。